CERCLL

CercLL d'Entraide et Réseau Coopératif Autour des Logiciels Libres

Firefox 37 : Mozilla supprime en urgence une fonction de sécurité SSL

Posted by CercLL sur 8 avril 2015

Une nouvelle fonction baptisée « Opportunistic Encryption » devait permettre de chiffrer les échanges même sur une connexion HTTP classique. Malheureusement, il y avait une faille critique dans le dispositif.

icones_02265

Opération rétropédalage. Après avoir diffusé la version 37 de Firefox le 31 mars dernier, la fondation Mozilla s’est vue contrainte de publier in extremis une version 37.0.1. Disponible depuis quelques jours, elle supprime la nouvelle fonctionnalité de « chiffrement opportuniste » (Opportunistic Encryption). Celle-ci permet de créer un canal de chiffrement HTTPS avec certains sites qui, pour des raisons diverses et variées, n’ont pas mis en place de service TLS/SSL.
Cela est possible techniquement grâce à HTTP/2, qui permet de définir des sources alternatives pour un service web. L’IETF appelle cela « HTTP Alternative Services » (HTTP AltSvc). Exemple : en voulant se connecter au site « http://www.example.com » sur le port 80, l’utilisateur disposant d’un navigateur supportant ce nouveau standard pourra être dévié vers un clone du même service web en version HTTP/2 sur le port 443, mais avec du chiffrement.
Le problème, c’est que l’implémentation de HTTP AltSvc dans Firefox présente une faille critique qui permet de contourner la vérification des certificats SSL, et ouvre donc la porte aux attaques de type « Man in the middle ». Mozilla a donc préféré enlever cette fonctionnalité. Elle reviendra peut-être plus tard.
Télécharger:
Télécharger Firefox 37 pour Windows.
Télécharger Firefox 37 pour OS X.
Télécharger Firefox 37 pour Linux.
Source 01net.com

bouton_web_soutien_88x31

Publicités

Sorry, the comment form is closed at this time.

 
%d blogueurs aiment cette page :